Hardening Guide - Rancher v2.3.3+

### 《Rancher v2.3.3+ 硬化指南》总结 #### 概述 该文档提供针对生产环境中 Rancher v2.3.3+ 和 Kubernetes v1.14、v1.15、v1.16 的强化配置指导，旨在符合 Center for Information Security (CIS) 的 Kubernetes 基准控制要求。文档还提供了通过 CIS 基准自评估 Rancher 硬化集群的方法。 --- #### 核心配置与安全措施 1. **审计与日志** - **审计日志启用** - Rancher 的审计日志功能需启用，用于记录用户操作，便于安全事件分析和快速检测恶意行为。 - 验证审计日志是否正确配置，确保日志输出到指定目标（如 `sidecar` 或 `hostPath`）。 - **审计日志配置** - 通过 Kubernetes 命令验证 Rancher 部署参数是否包含审计日志设置。 - 示例：`kubectl get deployment rancher -n cattle-system -o yaml | grep auditLog` 2. **身份验证** - **更改默认管理员密码** - 禁止使用默认密码 `admin`，立即修改为符合组织安全标准的强密码。 - **配置身份提供方** - 在生产环境中， Rancher 应集成外部身份验证系统（如 LDAP 或 OAuth），以简化用户和权限管理。 - 验证 Rancher UI 中身份验证提供方是否正确配置并启用。 3. **RBAC（基于角色的访问控制）** - **管理员权限限制** - 仅将管理员权限授予负责 Rancher 和集群管理的人员。 - 验证 Rancher 服务器中具有管理员权限的用户数量。 4. **Kubernetes 组件配置** - **Kubelet 配置** - 配置 Kubelet 选项以符合 CIS 基准要求，例如： - 禁用匿名认证：`--anonymous-auth=false` - 设置授权模式为 `Webhook` - 启用 `--protect-kernel-defaults` 和 `--make-iptables-util-chains` - 禁用 `AlwaysAllow` 模式 - **Kubernetes 调度程序配置** - 禁用调度程序的性能分析功能：`--profiling=false` - 设置 `--address` 为 `127.0.0.1`，防止 Rancher 监控刮取此端点。 - **控制器管理器配置** - 设置 `--terminated-pod-gc-threshold` 和 `--profiling=false` - 确保日志输出路径正确配置。 5. **Rancher 安装与升级** - **禁用本地集群选项** - 在 Rancher 服务器部署时，设置 `--add-local=false` 以避免本地集群成为潜在的攻击向量。 - **升级与修复** - 使用 Helm 升级 Rancher 服务器，并根据文档配置审计日志和其他安全选项。 --- #### 附录 - 文档提供了完整的 Ubuntu Cloud-Config 示例和 RKE 集群配置示例，供用户参考。 - 配置示例和详细步骤可参考 Rancher 官方文档。 --- #### 总结 该文档为 Rancher 和 Kubernetes 环境提供了全面的安全强化指导，重点包括审计日志、身份验证、RBAC 管理、Kubernetes 组件配置等关键安全措施。通过遵循这些配置，可以显著提升 Rancher 集群的安全性，符合 CIS 基准要求。